有句话说:“有一天,冰箱会知道你想要什么,并可以自动从商店为你订购。冰箱比你更了解你的需求。”我们不担心网络攻击。现在,物联网(IoT)还可以启用设备并防止潜在的攻击。几十年来,运营技术(OT)、物联网和医疗物联网(IoMT)一直在影响生产力,并且每台设备都随着每次发布而变得“更智能”。越来越多的雇主要求安全专业人员保护所有这些设备。这意味着将它们带入IT领域并将它们纳入我们的漏洞管理程序。踏上我们广阔的新海洋之旅。IoT的未知领域任何IoT探索(我称之为航行)中的第一个挑战(也包括OT和IoMT)是对设备本身进行定位和分类。因此,X-Force、Nozomi、Cylera、Tenable.ot和QualysIoT等物联网扫描仪都使用被动扫描也就不足为奇了。这种类型的扫描实际上是在倾听——就像潜艇上的麦克风——它需要我们将解决方案连接到网络中我们可以“听到”一切的地方。根据供应商和上下文,这称为镜像端口、监视会话或网络分路器。这些解决方案仅通过基于签名的物联网设备发现和指纹识别就取得了早期成功。为什么叫被动扫描呢?物联网设备易受攻击;如果我们向他们发送IT扫描带来的大量活动请求,他们可能会枯萎。见过打印机喷出成吨的废话吗?你可以感谢你友好的邻居扫描仪。在真正的潜艇中,“砰”这个词来自声纳从潜艇弹回的声音。物联网设备处于棘手的“重要但易受攻击”的区域,这种手套式方法将物联网扫描仪与其同类产品区分开来。一旦找到,物联网扫描仪就会检查设备的流量,并将其与自己的配置文件数据库进行比较,以确定它正在处理的生物种类。一旦收到好评,系统就会使用已知风险将设备的配置文件与检测到的物联网固件版本进行交叉引用。Newmeetsold这表示与其他类型的扫描不同;被动扫描仪不是测量设备的响应方式,而是观察设备的行为。从本质上讲,现代物联网扫描仪更像是一个入侵检测系统,事实上,一些解决方案实际上试图通过将不良行为者置于入侵防御系统中来阻止他们。这有优点也有缺点。我们可以更多地了解该系统,并有更好的机会主动识别它。另一方面,除非我们直接看到另一个系统连接到它,否则我们可能无法检测到所有打开的端口。这对现代物联网来说很好,但潜伏在深处的可怕的旧OT设备呢?这些机构使用SONET环和串行连接的繁荣时代技术。这在很大程度上取决于系统如何管理这些东西。在大多数情况下,最好的结果是使用相对最新的人机界面(HMI)检测到的。这些系统就像有多个触角的章鱼,通过另一种连接介质连接到传感器、阀门、泵和其他OT设备。在攻击者控制其中一个系统的情况下,由于带有“阀门关闭”和“释放Kraken”等标签的按钮,可能会发生可怕的事情。保护设备的网关在其他情况下,客户端使用称为串行网关的小型设备,这些设备允许它们连接到SecureShell或众所周知的Telnet等服务,并像直接连接一样管理设备。然后,物联网扫描仪将检测网络上的这些HMI和串行网关系统。我们需要记住,从清单的角度来看,它们代表了更多的设备。无论是从HMI手动导入设备还是使用自定义系统(如tdiConsoleWorks),这通常都是需要帮助的地方。找到您的物联网当前进程和速度一旦您发现了我们所有的物联网系统,问题就变成了“我们如何保护它们?”控制层次结构的普渡模型将成为我们的北极星。它是普渡大学与自动化工业协会第99委员会合资的成果。它的四个区域和六个级别对应于实际物联网设备(主要是OT设备)和企业网络之间的区分层。参考Purdue模型的有用文档可在此处获得,供那些想要查看的人使用。工业控制系统的普渡模型我们在物联网深海中发现的现实有时需要更大的动力。Purdue模型非常针对制造业。它还取决于组织改变其环境以从中获得最大价值。将此与IoMT用例进行对比,其中平板电脑、WindowsXP计算机甚至秤都共享网络,分散的负担是我的。这些设备在生产环境中的有机采用,既勇敢又令人生畏,使人员效率更高,而每一次功能升级都可以打造出充满新攻击角度的加油机。快速轻松地连接到现有网络的新设备的数量增加了斗争的难度。对于许多物联网用例,产品经理正在竭尽全力并试图将比竞争对手具有更新更好功能的产品推向市场。对他们来说,Purdue模型是一张藏宝图,其中X标记了希望轻松修复并可以开具支票的C级管理人员。毫不奇怪,相关的行业论坛和标准如雨后春笋般涌现,以降低锚点并减缓这种情况。IoXT联盟是智能技术供应商参与Herix(IBM是其成员)的一个很好的例子。欧洲医疗器械法规值得关注,预计将于2021年开始实施。这是物联网的怪物当然,我们都想避免的情况是,可怕的幽灵船上的海盗抓住我们的东西个人身份和受保护的健康信息,甚至完全淹没我们的重要船只。换句话说,我们谈论的是这些既关键又易受攻击的设备。即使它们变得越来越普遍,我们仍然需要保护它们和它们的数据。较新的设备足够智能,可以带来危险。他们可能采用分布式Linux配置并提供诸如小型但功能强大的服务器之类的服务。客户端使用您可能没有听说过但可能在您每天使用的东西中运行的实时操作系统,并将它们与其他设备混合使用。从您的汽车或杂货店自助结账可能包括这些。而且,还有更多此类设备运行嵌入式Windows版本。在您担心您的Myspace页面的那些日子里,您可能认出了它。报废设备的处置这些设备无法自我保护。从支持的角度来看,许多功能良好的物联网设备实际上已经到了使用寿命的尽头,但仍在嗡嗡作响,直到有人意识到它们容易受到7年前的攻击。影响消费者安全摄像头的云服务最近的关闭证明了软件和硬件功能之间的差异。它让这些原本可以正常工作的设备无处发送视频。在工作中,这些相同的物联网问题也适用——产品寿命短和对供应商的依赖性相同,即使设备失去支持但仍然可以工作。这样,凭借其独立性,较旧的OT设备可以比依赖云的智能物联网设备更长寿。考虑到所有这些挑战,很容易在海上迷失方向。物联网扫描仪可以运行,寻找新设备并告诉我们它们的风险。这些都是很好的解决方案,但如果它们产生成千上万的发现(扫描仪往往会这样做),我们将如何处理它们的结果?而且,我们如何从基于风险的角度看待物联网?即时帮助:漏洞排名扫描程序报告的几乎所有漏洞(IoT或IT)都引用了常见漏洞和披露(CVE)编号。MITRE维护着影响供应商软件和硬件的所有漏洞的报告库。方便的是,安全研究人员在发布此漏洞的概念验证利用代码时经常引用这一点。并非所有漏洞都被公开证明是可利用的——X-ForceRed发现只有大约16%的CVE属于此类。虽然暗网和深层网络潜水可以找到被利用的具体漏洞实例,但从表面上衡量CVE漏洞的流行程度(例如Metasploit、ExploitDB和Github等网站)可以很好地了解安全研究人员所看到的情况。此外,您可以将实际攻击经验与人工智能相结合,根据攻击者的部署方式对每个CVE进行评分。这有助于为CVE添加真实性,这些CVE非常简单,不需要漏洞利用代码,同样适用于没有关联CVE的基于配置的发现。风险分析由于IoT风险可能很复杂,因此在开发课程之前考虑技术和业务风险非常重要。IBM合作伙伴AbedGraham的[CCOM2]等技术为发现和识别临床工程团队应首先关注的IoMT设备增加了特定于医疗保健的风险。例如,虽然某些型号的病人监护仪本身就很脆弱,但摧毁医院磁共振成像(MRI)机器的能力通常是更直接的威胁。可以通过不同的视角来看待这些风险。在[CCOM2]的情况下,针对通常与临床环境相关的风险评估易受攻击的系统。此外,X-ForceRed经常将这些东西分开,以更好地了解潜在的其他风险。像FiniteState这样的工具可以帮助分析固件并让我们了解这些设备面临的新威胁。X-ForceRed硬件渗透测试可以帮助发现设备行为或其通信方法中可能存在的漏洞。物联网修复策略修复物联网漏洞可能需要很长时间。首先,除了一些基本配置外,我们通常对设备没有太多控制权。此外,受影响的设备有时是更大解决方案的一部分。我们的联络点可能无法提供帮助。在最坏的情况下,供应商会提醒我们受影响的设备已停产且不受支持。创造性思维是必需的,我们经常从多个角度处理这些情况。攻击检测是第一位的。不管我们能否阻止它,我们肯定能发现一些试图利用它的恶棍。真正的攻击应该是罕见的,物联网扫描仪通过侦听流量的能力,有时可以检测甚至阻止此类行为。如果我们能够检测到它,我们就可以将其与事件响应剧本联系起来,了解正在尝试什么以及在事件中寻找什么。如果我们发现设备不合适或意外暴露,有时也会使用分段。此过程在基础设施级别增加了保护,以在设备周围形成防波堤。本质上,如果我们将攻击者放在另一个受保护的网络上,攻击者就可以完全断开与设备的连接。修补有时仍然是物联网设备的一种选择。但是,与IT同行相比,它不太常见且更难执行。在最好的情况下,可以以低风险推出配置更改,以禁用易受攻击的不需要的服务。如果确实存在补丁,则通常需要停止使用设备才能进行补丁。在某些情况下,设备将需要物理访问才能安装补丁。固件更新失败的设备被视为“变砖”,通常需要送修。因此,修补高可用性、关键设备是可怕和危险的,这反过来又需要更改窗口和冗长的部署。当安全团队或客户发现设备中的新缺陷时,负责任的披露是我们经历的一个长期过程。由于我们之前谈到的事情,这在物联网领域更为常见。即来自于市场抢占和网络功能的快速赋能。这些设备中的许多都有缺陷,一旦将它们拆开,团队就可以很快发现这些缺陷。可以说,这才是物联网深坑的真正“大陷阱”。扬帆起航至此,航海比喻变得有点可疑。然而,声音。从工作站和服务器的相对可预测性转向保护物联网设备就像航行到未知部分。您需要一个基于发现、优先排序和补救的程序来维护一个有凝聚力的物联网。
